Add to collection(s) Add to saved
  1. No category

Москвин_Диплом_Готовый

advertisement 
Аннотация
Данная дипломная работа посвящена вопросам аттестации объектов
информатизации по требованиям безопасности информации. В ней описаны
проблемы, связанные с затрачиваемым временем на аттестационные (пере
аттестационные) мероприятия, а так же проблемы оценки соответствия
выбранных мер,
направленных на снижение вероятности выполнения
актуальных угроз.
В данной работе подробно описаны механизмы разработанной системы
сопровождения процесса аттестации объектов информатизации, которые
направлены на решение поставленных проблем. Эти механизмы разработаны
на основе требований, предъявляемых руководящими документами, а так же
опробованы на реальной практики.
Система сопровождения процесса аттестации успешно внедрена в
компанию ООО «КБ - Информ», постоянно совершенствуется и имеет
положительные отзывы.
Стр. 1
Оглавление
Список сокращений ................................................................................................ 4
Введение ................................................................................................................... 5
1. Ссылки на законодательство: Основные требования для
Аттестации ОИ. ................................................................................................... 9
2. Разработка системы сопровождения процесса аттестации объектов
информатизации. ............................................................................................... 13
2.1. Общее описание системы............................................................ 13
2.2. Разработка механизма «Сбор Информации» ............................ 14
Общие сведения об организации ............................................ 14
Сведения об ОИ: Автоматизированная Система .................. 17
Генерация технического паспорта АС. .................................. 21
Сведения об ОИ: Защищаемое помещение ........................... 22
Сведения об ОИ: Информационная система персональных
данных. ............................................................................................... 23
2.3. Разработка механизма «Аттестация объектов информатизации
по требованиям безопасности» ............................................................ 28
Механизм «Аттестация АС» ................................................... 30
Механизм «Аттестация защищаемого помещения» ............ 44
Механизм «Аттестация Информационной системы
персональных данных» ............................................................................. 49
Документ «Протокол оценки принятых организационных и
технических мер, снижающих вероятность выполнения
актуальных угроз»............................................................................. 50
Заключение ............................................................................................................ 52
Список литературы ............................................................................................... 53
Стр. 2
Приложение 1. Рис. 1. Добавления общих сведений об ОИ ............................. 55
Приложение 1. Рис. 2. Добавления общих сведений об ОИ: Кабинет ............ 56
Приложение 1. Рис. 3. Добавления общих сведений об ОИ: Оборудование .. 57
Приложение 2. Рис 1. Добавления общих сведений об АС: Общие сведения 58
Приложение 2. Рис. 2. Добавления ОТСС и ВТСС для АС .............................. 59
Приложение 2. Рис. 3. Определение ОТСС АС ................................................. 60
Приложение 2. Рис.4. Определение ВТСС АС .................................................. 61
Приложение 3. Добавления общих сведений о ЗП ............................................ 62
Приложение 4. Рис 1. Добавления общих сведений об ИСПДн ...................... 63
Приложение 4. Рис 2. Добавления общих сведений об ИСПДн: Помещения 64
Приложение 5. Аттестация АС ............................................................................ 65
Приложение 6. Расчет КЗ ..................................................................................... 66
Приложение 7. Аттестация АС: Заключение по результатам аттестационных
испытаний .............................................................................................................. 67
Стр. 3
Список сокращений
ФСТЭК
Федеральная служба по экспортному
и техническому контролю;
ФСБ
Федеральная служба безопасности;
ССПА
Система
сопровождения
процесса
аттестации;
ОИ
Объект информатизации;
АС
Автоматизированная система;
ЗП
Защищаемое помещение;
ИСПДн
Информационная
система
персональных данных;
НСД
Несанкционированный доступ
СЗИ
Средства защиты информации
ПЭМИН
Побочные
электромагнитные
излучения и наводки
ОТСС
Основные технические средства и
системы
ВТСС
Второстепенные
технические
средства и системы
ОРД
Организационно – распорядительная
документация;
ИБ
Информационная безопасность
Стр. 4
Введение
Аттестация - комплекс мероприятий, в результате которых посредством
«Аттестата
соответствия»
подтверждается,
что
объект
соответствует
требованиям стандартов или иных нормативных документов по защите
информации, утвержденных ФСТЭК, ФСБ России или другими органами
государственного управления в пределах их компетенции.
Зачем нужен «Аттестат соответствия»? Не стоит забывать, что для
получения лицензии, например, для осуществление деятельности по
разработки СЗИ или деятельности по технической защите конфиденциальной
информации необходим Аттестат соответствия АС и ЗП требованиям по
безопасности информации.
В рамках работ по защите персональных данных так же необходимо
проведение аттестационных испытаний. Это определенно федеральным
законом № 152 от 27.07.2006 (глава 4, ст. 18.1., п.3).
Аттестация выполняется в несколько этапов, каждый из которых влечет
за собой некоторые дополнительные работы, связанные со спецификой
аттестуемых
объектов:
начиная
от
определения
местоположения,
технических характеристик объекта, и заканчивая проведением специальных
исследований.
Общая схема процедуры аттестации приведена на рисунке 1.
Стр. 5
Рисунок 1. Общая схема аттестации.
Как показывает практика, в организациях не всегда имеются ОРД по
информационной безопасности, либо не сконфигурированы СЗИ в полном
объеме, либо их вообще нет. Это касается и технических паспортов на ОИ. В
связи с этим увеличивается объем работ, а, следовательно, и затрачиваемое
время на аттестацию.
Стоит добавить, что аттестация «имеет» периодический характер, т.е. по
истечению определенного срока для объекта информатизации требуется
переаттестация. Но ведь имея актуальную информацию об объекте,
хранящуюся в некой системе, можно сократить «временные» расходы до
минимума.
Стр. 6
Если переложить схему аттестации на «временную» шкалу, то она будет
иметь следующий вид:
Таблица 1. Временные затраты на аттестацию
Аттестация АС
(1 Арм)
Аттестация
ЗП
1 д.
1 д.
Аттестация
ИСПДн (10
АРМ)
1д
1 д.
1 д.
2д
1 д.
1 д.
1 д.
2д
1 д.
4 д.
2 д.
4 д.
4 д.
1 д.
1 д.
1д
1 д.
5 д.
5 д.
5 д.
5 д.
13 д.
11 д.
15 д.
13 д.
Сбор
информации
Разработка ОРД
Разработка
Технического
паспорта
Анализ
исходных
данных
Расчеты
по
результатам
специальных
исследований
Разработка
отчетной
документации
Общее Время
Переаттестация ОИ
1 д.
Цель моей работы:
 Создать систему сопровождения процесса аттестации объектов
информатизации.
Для реализации цели работы были поставлены следующие задачи:
 Разработать механизмы по сбору и хранению актуальной информации
об объекте информатизации;
 Разработать
механизмы,
обеспечивающие
контроль
выполнение
требований по защите информации в зависимости от типа ОИ и его
класса.
 Разработать механизмы, осуществляющие генерацию необходимых
протоколов и заключений в зависимости от типа ОИ.
Помимо этого выдвигались дополнительные задачи:
Стр. 7
 Разработать механизмы, организующие разработку ОРД по ИБ для
учреждения;

Разработать механизмы, обеспечивающие автоматические расчеты по
результатам специальных исследований.
В данной работе я продемонстрирую, как организованы эти механизмы,
как они связаны между собой, и, главное, как они помогают сэкономить
время на аттестацию ОИ.
Стр. 8
1. Ссылки на законодательство: Основные требования для
Аттестации ОИ.
Объект информатизации - совокупность информационных ресурсов,
средств и систем обработки информации, используемых в соответствии с
заданной информационной технологией, а также средств их обеспечения,
помещений или объектов (зданий, сооружений, технических средств), в
которых эти средства и системы установлены, или помещений и объектов,
предназначенных
для
(Источник: ГОСТ
Р
ведения
конфиденциальных
«Защита
51275-2006
переговоров.
информации.
Объект
информатизации. Факторы, воздействующие на информацию»).
Исходя
из
определения,
Автоматизированные
Системы
объекты
(АС),
информатизации
Защищаемые
-
это
Помещения
(ЗП),
Информационные Системы Персональных данных (ИСПДн).
Общее
описание
структуры
системы
аттестации
объектов
информатизации по требованиям безопасности информации, порядок
проведения аттестации, а так же требования к нормативным и методическим
документам по аттестации описаны в «Положение по аттестации объектов
информатизации по требованиям безопасности информации», утвержденой
председателем Государственной технической комиссии при Президенте
Российской Федерации 25 ноября 1994 г.
В рамках Аттестации АС выдвигаются требования, предъявляемы
законодательством, а именно, следующими документами:
 РД ФСТЭК от 30 марта 1992 г. «Автоматизированные системы.
Защита
от
несанкционированного
доступа
к
информации.
Классификация автоматизированных систем и требования по защите
информации»;
Стр. 9
 Нормативно-Методический документ «Специальные требования и
рекомендации
по
технической
защите
конфиденциальной
информации» (СТР-К).
Исходя из РД, требования для АС выдвигаются после определения его
класса защищенности. Именно эти требования можно использовать для
оценки соответствия АС требованиям по защите информации от НСД.
Система сопровождения процесса аттестации устроена таким образом, что
после определения класса защищенности, она выдвигает требования к
следующим подсистемам:
 Управление доступом (идентификация, аутентификация);
 Регистрация событий;
 Шифрование информации;
 Контроль целостности (как отдельных программ, так и самого СЗИ).
Из СТР-К взяты следующие требования:
 Наличие ОРД, касающихся ИБ объекта (Инструкции, приказы,
перечни);
 Защита
АС
от
утечки
конфиденциальной
информации
по
техническим каналам (ПЭМИН, оптический канал и т.п.);
 Защита информации при межсетевом взаимодействии;
 Защита помещений от утечки информации по акустическому и
виброакустическому каналу при проведении конфиденциальных
совещаний.
Данные требования выдвигаются в зависимости от актуальности угрозы.
Например, если АС не подключена к сети интернет, то соответственно
защищать информацию при межсетевом взаимодействии смысла нет.
При
аттестации
выполнение
ЗП
требований
в
по
первую
очередь
необходимо
защите помещений
от
утечки
проверить
речевой
Стр. 10
конвенциальной
информации
по
техническим
каналам.
Оценка
эффективности защищенности помещений определяется специальными
требованиями и рекомендациями по технической защите конфиденциальной
информации, а так же временными методиками оценки защищенности
помещений
от
утечки
речевой
конфиденциальной
информации
по
акустическому, виброакустическому и электроакустическому каналу.
Для
аттестации
ИСПДн
помимо
тех
требований,
которые
сформулированы в СТР-К, могут выдвигаться дополнительные требования
для конкретного уровня защищенности, а также меры по их реализации.
Требования выдвигаются для актуальных угроз, определенных базовой
моделью угроз.
Исходя из актуальных угроз определяется уровень защищенности ПДн в
ИСПДн. (в соответствии с Постановлением Правительства РФ от 01.11.2012
№ 1119 «Об утверждении требований к защите персональных данных при их
обработке в информационных системах персональных данных»).
Исходя
из
определенного
уровня
защищенности
выдвигаются
организационные и технические меры по обеспечению безопасности ПДн.
(на утверждении Приказ № 21 «Об утверждении состава и содержания
организационных и технических мер по обеспечению безопасности ПДн в
ИСПДн»)
Требования по защите ПДн в ИСПДн распространяются на следующие
подсистемы (исходя из актуальности угроз):
 Обеспечения доверенной загрузки;
 Идентификации и аутентификация субъектов и объектов доступа;
 Управления доступом субъектов доступа к объектам доступа;
 Ограничения программной среды;
 Защиты машинных носителей информации;
Стр. 11
 Регистрации событий безопасности;
 Защиты среды виртуализации;
 Обеспечения целостности информационной системы и информации;
 Защиты информационной системы, ее средств и систем связи и
передачи данных.
Стр. 12
2. Разработка системы сопровождения процесса
аттестации объектов информатизации.
Для достижения поставленных задач было принято решение о создании
системы сопровождения процесса аттестации ОИ (далее ССПО), которая в
дальнейшем получила название «GUSE».
Общее описание системы
2.1.
ССПО представляет собой приложение, работающее под управлением
операционной системы
«вкладок»,
навигация
«Windows» . Приложение состоит из «окон» и
по
которым
осуществляется
посредством
манипулятора типа мышь, либо клавиатуры. Пользователь ССПО, в
зависимости от потребностей, выбирает нужную вкладку, после чего перед
ним появляется рабочая область. Интерфейс приложения понятный и
удобный. Ниже будет описана каждая рабочая область более подробно.
Технические характеристики ССПО «GUSE»
 В качестве языка программирования был выбран Delphi 10
(Embarcadero);
 В качестве СУБД был выбран MS SQL SERVER 2008 (R2).
Основные функции АС «GUSE»
 Хранение и обработка актуальной информации об аттестуемом
объекте;
 Контроль выполнения требований по защите информации в
зависимости от типа ОИ и его класса;
 Автоматические расчеты (радиуса требуемой КЗ и пр.) по
результатам
специальных
исследований
и
последующая
генерация рекомендаций.
 Генерация ОРД документов, которые обязательно должны быть у
заказчика.
Стр. 13
Помимо
всего
прочего,
пользователь
ССПО
«GUSE»,
который
производит аттестацию объектов информации, может хранить информацию о
себе, об оборудовании, которое он использует во время аттестации, вести
журналы ДСП – учета и прочее.
2.2.
Разработка механизма «Сбор Информации»
Общие сведения об организации
Под общими сведениями об организации будем считать те сведения,
которые описывают общую структуру предприятия: начиная от его
расположения, и заканчивая инвентарными номерами технических средств.
Эти данные являются актуальными как для АС, так и для ИСПДн, ЗП.
Интерфейс добавления общих сведений об организации приведен в
приложении 1. Рис.1.
Общие сведения об организации:
 Наименование учреждения/ компании;
 № договора и дата;
 Срок договора;
 ФИО Руководителя;
 Юридический/Физический адрес компании;
 Телефон компании;
 ФИО контактного лица;
 Должность контактного лица;
 Телефон контактного лица;
 Email контактного лица.
При
двойном
нажатии
по
названию
организации
в
«Таблице
организаций» приложение переходит на новую рабочую область, в которой
Стр. 14
более детально расписана информация об объекте. Данная рабочая область с
определенными вкладками продемонстрирована в приложении 1. Рис.2.
В данном разделе содержаться следующие сведения об объекте
информатизации:
 Кабинет, в котором расположен ОИ;
 Перечень оборудования, расположенного в кабинете;
 Перечень сотрудников, имеющих доступ в кабинет;
 Перечень программного обеспечения;
 Перечень Средств защиты информации;
 Комплекты исходных данных.
Перечень оборудования, сотрудников, программных средств и средств
защиты информации закреплены за конкретным помещением. Навигация по
помещениям
осуществляется в таблице слева в окне «Обработка
Организации, вкладка Сбор информации» (см. приложение 1. Рис.2).
Интересующая информация об имеющимся оборудовании находится в
этом же окне, вкладка «Сбор информации
-> Оборудование». Для
добавления или изменения сведений об оборудовании необходимо нажать на
кнопку «Редактировать». Появляется всплывающее окно (см. приложение 1.
Рис.3), в котором пользователь ССПА может редактировать следующие
данные об оборудовании:
 Название оборудования;
 Модель;
 Серийный номер;
 Инвентарный номер.
Название оборудования можно выбрать из вариантов, предложенных в
выпадающим списке: «системный блок», «мышка», «клавиатура», и т.п.
Стр. 15
Для добавления нового оборудования необходимо нажать кнопку
«Добавить». Сохранение измененных данных осуществляется нажатием
кнопки «Сохранить». Для закрытия всплывающего окна необходимо нажать
клавишу «Закрыть».
Для добавления нового сотрудника, имеющего доступ к помещению,
необходимо перейти на вкладку «Сбор Информации -> Сотрудники». При
нажатии
кнопки
«Редактировать»,
во
всплывающем
окне
можно
редактировать следующую информацию:
 Фамилия, Имя, Отчество сотрудника;
 Должность сотрудника;
 Контактная информация: телефон, почта.
 Назначение сотрудника администратором безопасности ОИ.
Сотрудник, являющийся администратором безопасности, отвечает за
информационную безопасность на ОИ, а также наделен полномочиями
администрирования средств защиты информации. Помимо этого, имя и
должность этого сотрудника будет указана в аттестате соответствия
как
лицо, осуществляющее контроль за эффективностью реализованных мер и
средств защиты информации.
Навигация в сплывающем окне такая же, как при обработке
оборудования, т.е. она имеет таблицу сотрудников, поля для редактирования
и кнопки «Добавить», «Сохранить», «Удалить».
Для редактирования перечня средств защиты информации необходимо
перейти на вкладку СЗИ.
Во всплывающем окне, которое так же появляется при нажатии кнопки
«Редактировать»,
пользователь
может
редактировать
следующею
информацию:
 Наименование и тип технического средства;
Стр. 16
 Заводской номер;
 Сведения о сертификате;
 Место установки.
Навигация в сплывающем окне такая же, как при обработке
оборудования, т.е. она имеет таблицу сотрудников, поля для редактирования
и кнопки «Добавить», «Сохранить», «Удалить».
Место установки
выбирается из системных блоков, добавленных ранее во вкладке «Сбор
информации -> Оборудование». Если СЗИ устанавливается не на системный
блок, то, при добавлении его в общий перечень средств защиты информации,
в графе «Место Установки» ничего не указывается.
Для редактирования перечня программного обеспечения необходимо
перейти на вкладку «Сбор информации -> ПО». Перечень программного
обеспечения содержит следующую информацию:
 Наименование и тип программного средства;
 Серийный номер (номер лицензии);
 Сведения о сертификате;
 Дата установки;
 Место установки.
Навигация в сплывающем окне такая же, как при обработке
оборудования, т.е. она имеет таблицу ПО, поля для редактирования и кнопки
«Добавить», «Сохранить», «Удалить». Место установки определяет, на какие
системные блоки устанавливается ПО.
Перечень системных блоков
формируется из ранее добавленных технических средств, помеченных как
«Системный блок».
Сведения об ОИ: Автоматизированная Система
После сбора общей информации пользователь ССПА имеет возможность
выбрать ОИ и определить сведения конкретно для него. Для данного пункта
Стр. 17
рассмотрим добавление
сведений об автоматизированной системы. Для
этого необходимо перейти на вкладку АС. Перед нами появляется рабочее
поле для аттестации автоматизированной системы. При переходе на вкладку
«АС ->Сбор информации -> Основное» пользователь ССПА имеет
возможность добавлять АС для аттестации. Сведения, необходимые для
определения автоматизированной системы:
 Название автоматизированной системы;
 Класс защищенности;
 Кабинет, в котором расположена АС;
 Администратор безопасности.
 Радиус контролируемой зоны;
В зависимости от класса защищённости системой сопровождения
аттестации
будет сформировано рабочая область с необходимыми
требованиями, предъявляемы для автоматизированной системы. Именно по
этим требованиям и будет проводится дальнейшая аттестация. Об этом
подробно будет описано в разделе 2.3.1.
Кабинет, в которых расположена АС, выбираются из выпадающего
списка, данные для которого формируются из ранее добавленных помещений
(см. п. 2.2.1).
Администратора безопасности так же выбирают из выпадающего списка
среди тех, кто был помечен как «Администратор безопасности» (см. п. 2.2.1).
Именно э тот человек и буден указан в аттестате.
Радиус фактической контролируемой зоны необходим для сравнения с
требуемой
контролируемой
зоны
после
проведения
специальных
исследований. Подробнее в разделе 2.3.1.3.
Интерфейс данной рабочей области приведен приложении 2. Рис .1.
Стр. 18
Для автоматизированные систем есть одна особенность относительно
технических средств: то, что является основными техническими средствами
и системами (ОТСС) для автоматизированных систем, не является ОТСС для
защищаемых помещений. Именно это отмечается во вкладке «АС -> Сбор
информации -> Состав ОТСС и ВТСС». При переходе на эту вкладку
пользователю отображается две таблице: таблица ОТСС и Таблица ВТСС.
(приложение 2. Рис.2) При нажатии на кнопку «Редактировать» появится
всплывающее окно, где пользователь выбирает нужные технические средства
и помечает их как ОТСС. Стоить заметить, что технические средства берутся
из ранее созданного перечня (см.п.2.2.1.). Процедура добавления ОТСС для
АС приведена в приложении 2, рис.3.
Добавление ВТСС такое же, как и ОТСС, только есть одна особенность:
то, что было отмечено как ОТСС, в предложенном списке не отобразится.
Процедура добавления ОТСС приведена в приложении 2, рис.4.
Перечень программного обеспечения, который можно просмотреть во
вкладке «АС -> Cбор информации -> ПО», формируется автоматически после
определения технических средств (системных блоков), отмеченных как
ОТСС. (Формирование таблицы ПО произойдет обязательно, поскольку при
общем
сборе
информации
(п.2.2.1.)
мы
указали,
что
программное
обеспечение устанавливается на конкретное оборудование).
Перечень средств защиты информации можно просмотреть во вкладке
«АС
->
Cбор
информации
->
СЗИ».
Таблица
СЗИ
формируется
автоматически в зависимости от выбранных системных блоков, помеченных
как ОТСС. (в разделе 2.2.1. мы указали, что СЗИ устанавливается на
конкретное оборудование). Этот список может быть редактирован при
нажатии кнопки «Редактировать». Появляется всплывающее окно, в котором
пользователь ССПА к существующему перечню СЗИ может добавлять те,
которые не установлены на системные блоки, но которые используются для
Стр. 19
повышения уровня защищенности персональных данных, обрабатываемых в
ИСПДн. Например, устройства защиты от утечки по каналам ПЭМИН и т.п.
Перейдя на вкладку «АС -> Сбор Информации -> Документы по ИБ»
пользователь имеет возможность редактировать информацию об имеющихся
документах по информационной безопасности. Перечень документов
содержит следующие поля:
 Наименование документа;
 Инвентарный номер;
 Дата согласования.
Помимо
этого
пользователь
имеет
возможность
сгенерировать
недостающие документы по обеспечению информационной безопасности.
Для этого необходимо нажать кнопку «Создать ОРД для организации».
Появится новое окно, в котором предложат создать следующие документы:
 состав технических и программных средств, входящих в состав
АС;
 организационно-распорядительную
разрешительной
системы
документацию
доступа
персонала
к
автоматизированной системе;
 акт классификации АС;
 технологические инструкции пользователям автоматизированной
системы и администратору безопасности;
 инструкцию по эксплуатации средств защиты информации;
 данные по уровню подготовки кадров, обеспечивающих защиту
информации.
Примечание: Данный набор документов генерируется, используя те
сведения, которые были внесены в систему. Документы используют заранее
подготовленные шаблоны, что не может гарантировать полную адаптацию
Стр. 20
документов нуждам организации
(ввиду уникальности каждого объекта).
Перед тем, как утверждать данные документы, администратор безопасности
должен досконально изучить данные документы, внести корректировки, а уж
потом предпринимать какие-либо действия по их внедрению.
Генерация технического паспорта АС.
Собранной информации (см.п.2.2.1. и п.2.2.2.) уже достаточно для
«понимания» общей структуры объекта. В соответствии с документом
«Специальные
требования
и
рекомендации
по
технической
защите
конфиденциальной информации» для автоматизированной системы может
быть
составлен
технический
информационно-справочный
паспорт.
документ,
в
Технический
котором
паспорт
описано
–
реальное
состояние аттестуемого объекта информатизации. Технический паспорт
составляется в соответствии с «приложением В» документа «СТР-К» и
содержит следующую структуру:
1. Общие сведения:
 Наименование АС;
 Расположение АС;
 Класс АС.
2. Состав оборудования АС:
 ОТСС:
- Тип ОТСС;
- Завадской номер;
- Сведения по сертификации, специсследованиям и
спецпроверкам.
 ВТСС:
- Тип ВТСС;
- Заводской номер;
- Примечание.
Стр. 21
 Перечень средств защиты информации:
- Наименование и тип технического средства;
- Заводской номер;
- Сведения о сертификате;
-Место и дата установки.
 Перечень программных средств:
- Наименование и тип программного средства;
- Серийный номер (номер лицензии);
- Сведения о сертификате;
-Дата установки.
Именно по этой схеме средствами языка программирования Delphi
происходит генерация Технического паспорта на основе подготовленного
шаблона MS Office Word для АС. Генерация документа осуществляется
после нажатия кнопки «Создать технический паспорт АС» в рабочей области
«АС: вкладка сбор информации: вкладка документация».
Сведения об ОИ: Защищаемое помещение
Для данного пункта рассмотрим добавление сведений о защищаемом
помещении. Для этого необходимо перейти на вкладку ЗП. Перед нами
появляется рабочее поле для аттестации защищаемого помещения. При
переходе на вкладку «ЗП -> Сбор информации -> Основное» пользователь
ССПА имеет возможность добавлять ЗП для аттестации. Сведения,
необходимые для определения защищаемого помещения:
 Наименование защищаемого помещения;
 Номер кабинета;
 Администратор безопасности.
Наименование защищаемого помещения служит для дальнейшей
навигации в приложении. Так же наименование защищаемого помещения
будет использоваться в дальнейшей аттестации.
Стр. 22
Номер кабинета выбирается из общего перечня помещений организации,
определенных раннее (см. п.2.2.1.).
На администратора безопасности возлагается повседневный контроль за
выполнение установленных правил эксплуатации ЗП. Интерфейс добавления
нового оборудования приведен в приложении 3.
При переходе на вкладку «ЗП -> Сбор информации ->
оборудования» пользователь
оборудования,
Перечень
имеет возможность редактировать перечень
установленного
в
помещении.
При
нажатии
кнопки
редактировать, появляется всплывающее окно, в котором пользователь
ССПА выбирает необходимое оборудование.
Перечень средств защиты информации, установленных в защищаемом
помещении, можно редактировать во вкладке «ЗП -> Сбор информации ->
Основное». При нажатии кнопки редактировать, пользователю ССПА будет
предложено на выбор лишь те СЗИ, указанные ранее, но не помеченные как
«установленные на системный блок» (см. п. 2.2.1.). Т.е. это генераторы шума,
виброизлучательи и т.п.
В соответствии с документом «СТР - К» этих сведений не достаточно
для генерации Технического паспорта ЗП.
Сведения об ОИ: Информационная система
персональных данных.
Информационная система персональных данных представляет наиболее
сложную структуру,
в отличии от АС и ЗП. Чем больше масштабы
учреждения, тем больше количество ИСПДн в нем, а, соответственно, и
больше требований для обеспечения безопасности персональных данных,
обрабатываемых в них.
При сборе информации об ИСПДн в первую очередь интересуют:
 Наименование информационной системы персональных данных;
Стр. 23
 ФИО Администратора безопасности;
 Уровень защищенности ПД в ИСПДн;
 Сведения об имеющихся ОРД по ИБ;
 Сведения об оборудовании;
 Сведения о программном обеспечении;
 Сведения о средствах защиты информации;
 Перечень сотрудников, имеющих доступ к ИСПДн;
 Сотрудники, ответственные за обеспечение информационной
безопасности.
Наименование ИСПДн необходим для дальнейшей навигации в
приложении, а так же это название будет обозначено в аттестате
соответствия.
ИСПДн может располагаться в нескольких помещениях. Помещения
выбираются из собранных ранее сведений (см.п.2.2.1.). Для добавления
нового помещения пользователю достаточно нажать кнопку «Добавить
помещение», после чего появится всплывающее окно, в котором будут
предложены помещения. Процедура добавления помещений приведена в
приложении 4. Рис.1.
Администратора безопасности ИСПДн
выбирают из выпадающего
списка среди тех, кто был помечен как «Администратор безопасности» (см.
п. 2.2.1). Именно э тот человек и буден указан в аттестате как лицо,
уполномоченное осуществлять контроль эффективности реализованных мер
и средств защиты.
Уровень защищенности персональных данных в ИСПДн определяет
требования, на основе которых проводится аттестация. В зависимости от
уровня защищенности программа формирует необходимую рабочую область
для дальнейшей эксплуатации приложения.
Стр. 24
Интерфейс добавления общих сведений об ИСПДн приведен в
приложении 4.рис.2.
Для просмотра оборудования, входящего в состав ИСПДн, необходимо
пройти на вкладку «ИСПДн -> Сбор Информации -> Оборудование». Так же
как и для автоматизированных систем, пользователю ССПА необходимо
определить, какое из предложенного оборудования будет являться ОТСС, а
какое ВТСС. Для редактирования перечня ОТСС или ВТСС пользователю
ССПА необходимо нажать кнопку «Редактировать». Появится всплывающее
окно, в котором и производится выбор из ранее добавленных технических
средств (см. п. 2.2.1.).
Для просмотра программного обеспечения, установленного на АРМ,
входящих в состав ИСПДн, необходимо пройти на вкладку «ИСПДн -> Сбор
Информации -> ПО». Таблица программного обеспечения формируется
автоматически в зависимости от выбранных системных блоков, помеченных
как ОТСС. (в разделе 2.2.1. мы указали, что программное обеспечение
устанавливается на конкретное оборудование).
Для просмотра средств защиты информации, установленных на АРМ,
входящих в состав ИСПДн, необходимо пройти на вкладку «ИСПДн -> Сбор
Информации -> СЗИ». Таблица СЗИ формируется автоматически в
зависимости от выбранных системных блоков, помеченных как ОТСС. (в
разделе 2.2.1. мы указали, что СЗИ устанавливается на конкретное
оборудование). Этот список может быть редактирован при нажатии кнопки
«Редактировать». Появляется всплывающее окно, в котором пользователь
ССПА к существующему перечню СЗИ может добавлять те, которые не
установлены на системные блоки, но которые используются для повышения
уровня защищенности персональных данных, обрабатываемых в ИСПДн .
Например, генераторы шума, виброизлучательи и т.п.
Стр. 25
При переходе на вкладку «ИСПДН -> Сбор Информации ->
Ответственные за ИБ» появляется таблица ответственных. Её можно
редактировать, нажав клавишу редактировать. Из предложенного перечня
сотрудников есть возможность выбрать необходимых людей. В данном
перечне отображаются лишь те люди, которые были закреплены за
конкретными помещениями (см. п. 2.2.1.).
Перейдя на вкладку «ИСПДН -> Сбор Информации -> Документация»
пользователь имеет возможность редактировать информацию об имеющихся
документах по информационной безопасности. Перечень документов
содержит следующие поля:
 Наименование документа;
 Инвентарный номер;
 Дата согласования.
Так же, как и для автоматизированных систем, пользователь имеет
возможность сгенерировать недостающие документы по обеспечению
информационной безопасности. Для этого необходимо нажать кнопку
«Создать ОРД для организации». Появится новое окно, в котором предложат
создать следующие документы:
 Концепция ИБ;
 Политика ИБ;
 Политика обработки и защиты ПДн;
 Положение об обеспечении информационной безопасности;
 Положение об организации пропускного режима и о порядке
допуска в служебные помещения;
 Положение об организации оформления, учёта и хранения
письменных согласий субъектов ПДн на обработку их ПДн, а
также информирования субъектов ПДн об обработке их ПДн;
Стр. 26
 Положение
о
порядке
работы
с электронным
журналом
обращений пользователей ИСПДн к обрабатываемым ПДн;
 Положение о разграничении прав доступа к обрабатываемым
ПДн в ИСПДн;
 Матрица доступа;
 Уведомление об обработке;
 Инструкция администратора безопасности;
 Инструкция администратора ИСПДн;
 Инструкция пользователя ИСПДн;
 Инструкция
пользователя
по
обеспечению
безопасности
обработки ПДн при возникновении внештатных ситуаций;
 Инструкция по организации парольной защиты ИСПДн;
 План
внутренних
проверок
состояния
защиты
ПДн,
защиты
ПДн,
обрабатываемых в ИСПДн;
 План
мероприятий
по
обеспечению
обрабатываемых в ИСПДн;
 Порядок информирования субъектов об обработке их ПДн;
 Порядок определения уровня защищённости ПДн, при обработке
в ИСПДн;
 Порядок реагирования на проведение проверки уполномоченным
органом по защите прав субъектов ПДн;
 Порядок
резервного
копирования
и
восстановления
работоспособности ТС и ПО, БД и СЗИ в ИСПДн;
 Порядок учёта, хранения, обращения и уничтожения носителей
ПДн;
 Перечень ИСПДн;
 Требования по обеспечению защиты информации.
Стр. 27
Примечание: Данный набор документов генерируется, используя те
сведения, которые были внесены в систему. Данные документы используют
заранее подготовленные шаблоны, что не может гарантировать полную
адаптацию документов нуждам организации (ввиду уникальности каждого
объекта). Перед тем, как утверждать данные документы, администратор
безопасности
должен досконально изучить данные документы, внести
корректировки, а уж потом предпринимать какие-либо действия по их
внедрению.
По собранным данным (п.2.2.1. и 2.2.5.) пользователь ССПА имеет
возможность сгенерировать технический паспорт ИСПДн. Кнопка «Создать
технический паспорт» находится во вкладке «ИСПДн-> Сбор Информации > Документация». Структура документа аналогична техническому паспорту
автоматизированной
системы
(см.п.
осуществляется
основе
типового
на
2.2.3.).
Генерация
шаблона
документа
средствами
языка
программирования.
Выводы по разделу 2.2.: Разработанный механизм «Сбор Информации»
выполняет в полном объёме свои функции, а именно: сбор и хранение
актуальной информации. Собранной информации об ОИ достаточно для
понимания структуры объекта, о масштабах работы и об определения
требований по защите информации для объекта. Данный модуль так же
содержит механизмы, организующие разработку ОРД по ИБ, которые
решают дополнительные задач данной работы.
2.3.
Разработка механизма «Аттестация объектов
информатизации по требованиям безопасности»
В данном разделе описаны механизмы по оценки соответствия объекта
информатизации требованиям по безопасности информации в зависимости от
его класса (уровня) защищенности, и последующая генерация отчетной
документации по полученным данным.
Стр. 28
Исходя от типа объекта информатизации, ССПА имеет возможность
генерировать следующие документы:
 «Программа – методика аттестационных испытаний объекта
информатизации на соответствие требованиям по безопасности
информации»;
 «Акт технической приемки системы защиты информации»;
 «Протокол оценки защищенности ОТСС от утечки информации
по каналу ПЭМИН»;
 «Протокол инструментально-расчетной оценки защищенности
помещения от утечки речевой информации»;
 «Протокол аттестационных испытаний объекта информатизации
на соответствие требованиям по защите информации от НСД»;
 «Протокол аттестационных испытаний объекта информатизации
на соответствие требованиям по безопасности информации»;
 «Предписание на эксплуатацию основных технических средств и
систем объекта информатизации»;
 «Заключение по результатам аттестационных испытаний объекта
информатизации на соответствие требованиям по безопасности
информации»;
 «Аттестат соответствия объекта информатизации требованиям по
безопасности информации».
Ниже будет описано, для каких целей создан тот, или иной документ, а
так же какие критерии безопасности он контролирует. Для каждого типа
объекта информатизации с определенным классом (уровнем) защищенности
разработан типовой шаблон, по которому происходит генерация отчетной
документации средствами языка программирования Delphi.
Стр. 29
Механизм «Аттестация АС»
Интерфейс
приложения,
автоматизированной
системы
направленный
требованиям
на
оценку
соответствия
безопасности
информации,
приведен в приложении 5. Для перехода в данную рабочую область
пользователю ССПА необходимо перейти в следующую вкладку «АС ->
Аттестация».
Документ «Программа – методика
аттестационных испытаний объекта информатизации на
соответствие требованиям по безопасности информации»
Данный документ описывает цели и задачи аттестационных испытаний
АС, а так же содержит условия проведения аттестационных испытаний.
Исходя из собранной информации об автоматизированной системе (см.
п. 2.2.1.), формируется представление об объекте, которое в дальнейшем
отображается в документе:
 Название автоматизированной системы;
 Адрес, в котором расположена автоматизированная система;
 Состав ОТСС.
Данная информация содержится во вкладке «АС -> Аттестация ->
Программа-Методика -> Представление об объекте».
Помимо этого пользователь ССПА имеет возможность определить
перечень исходных данных, который был предоставлен заказчиком на
момент аттестации. Данный перечень формируется их тех документов,
которые были добавлены раннее (см. п. 2.2.1.). Пользователю ССПА
достаточно определить, наименования каких из них будет отображаться в
«Программе
-
методике»
(по
умолчанию
выбраны
«все»).
Данная
информация содержится во вкладке «АС -> Аттестация ->ПрограммаМетодика -> Представлено заказчиком».
Стр. 30
Этот документ является общим для автоматизированных систем
различных классов защищенности. В общем случае аттестационные
испытания автоматизированных систем проводятся в следующем порядке:
 Проверка достаточности представленных документов;
 Проверка
состояния
технологического
процесса
обработки
информации;
 Проверка правильности классификации АС;
 Проверка наличия сертификатов соответствия на ОТСС и
средства защиты;
 Проверка выполнения требований к помещениям, в которых
производится обработка информации на ОТСС;
 Аппаратурные испытания эффективности защиты информации,
обрабатываемой ОТСС, от утечки за счет ПЭМИН;
 Проверка средств защиты информации;
 Проверка защищенности АС от НСД;
 Подготовка отчетной документации - протоколов испытаний и
заключения по результатам аттестационных испытаний.
В соответствии с данным порядком разработаны модули ССПА АС.
Генерация данного документа осуществляется при нажатии кнопки
«Просмотреть» во вкладке «АС -> Аттестация-> Программа методика».
Реквизиты документа (а именно номер ДСП и дату создания документа)
вносятся в соответствующем поле «Номер ДСП».
Документ «Акт технической приемки системы
защиты информации»
Данный
документ
создается
в
том
случае,
когда на объекте
информатизации производится установка СЗИ. Как показывает практика, у
заказчика не всегда хватает квалификации в установке и настройке СЗИ,
Стр. 31
поэтому появляется необходимость в привлечении опытных специалистов.
Для подтверждения факта установки и создается данный документ.
Для перехода в меню редактирования «Акта» пользователю ССПА
необходимо пройти по вкладке «АС -> Аттестация -> Акт установки СЗИ». В
данном разделе пользователь выбирает из ранее созданного списка (см.
п.2.2.2.) те СЗИ, которые были установлены сторонними специалистами. При
нажатии кнопки «Просмотреть АКТ» программа, используя ранее собранные
данные, генерирует документ. Акт установки содержит следующие сведения:
 Какое СЗИ было установлено;
 Дата установки СЗИ;
 Когда было установлено СЗИ;
 Куда было установлено СЗИ;
 Кем было установлено СЗИ;
 Информация о сертификатах СЗИ.
Документ «Протокол оценки защищенности
ОТСС от утечки информации по каналу ПЭМИН без
использования средств активной защиты информации»
В данном документе приведены результаты измерений побочных
электромагнитных
исследования
излучений
ПЭВМ
и
проводятся
наводок
в
от
ОТСС.
соответствии
с
Специальные
требованиями,
изложенными в следующих нормативно-методических документах:
 "Временная
методика
оценки
защищенности
основных
технических средств и систем, предназначенных для обработки,
хранения и (или) передачи по линиям связи конфиденциальной
информации", Гостехкомиссия России, 2001 г.;
 "Временная методика оценки защищенности конфиденциальной
информации,
обрабатываемой
основными
техническими
средствами и системами, от утечки за счет наводок на
Стр. 32
вспомогательные
технические
средства
и
системы
и
их
коммуникации", Гостехкомиссия России, 2001 г.
 "Специальные требования и рекомендации по технической
защите
конфиденциальной
информации",
Гостехкомиссия
России, 2002 г.
Для
расчета
требуемого
размера
контролируемой
зоны
создан
отдельный механизм. Для поведения расчетов пользователю ССПА
необходимо перейти по вкладке «АС -> Аттестация -> Протокол измерения
ПЭМИН без САЗ -> Произвести расчет». Появляется окно «Рассчитать
радиус КЗ», в котором пользователь ССПА вводит данные, полученные
опытным путём специальным оборудованием. Расчет осуществляется
алгоритмом, разработанным в соответствии со «Сборником временных
методик оценки защищенности конфиденциальной информации от утечки по
техническим каналам». Программа сравнивает фактический размер КЗ (См.
п. .2.2.2) с требуемым размером КЗ, после чего формирует выводы о
необходимости применения САЗ. Общий интерфейс данной процедуры
приведен в приложении 6. Просмотреть данный документ можно
просмотреть, нажав кнопку «Просмотр».
Документ «Протокол оценки защищенности
ОТСС от утечки информации по каналу ПЭМИН с
использования средств активной защиты информации»
Данный документ разрабатывается в том случае, когда были приняты
дополнительные меры по защите информации от утечки по каналам ПЭМИН
(например, при установки генератора шума). В этом случае пользователь
вводит полученные экспериментальным путем данные, которые были
получены при включенном САЗ (АС -> Аттестация -> Протокол измерения
ПЭМИН с САЗ -> Произвести расчет). Как правило, при включенном САЗ
рассчитанный размера контролируемой зоны гораздо меньше минимального
расстояния от ОТСС до границы КЗ. Приложение так же сформирует
Стр. 33
соответствующий вывод и предложит создать необходимый документ. Для
генерации документа необходимо пройти на вкладку «АС -> Аттестация ->
Протокол измерения ПЭМИН с САЗ» и нажать кнопку «Просмотреть».
Документ «Протокол аттестационных
испытаний объекта информатизации на соответствие
требованиям по защите информации от НСД»
В данном документе приведены результаты проведения проверки
качества и эффективности функционирования системы защиты информации
от несанкционированного доступа.
В
соответствующей
предлагается
вкладке
минимальный
набор
приложения
пользователю
испытаний,
ССПА
достаточный
для
формирования выводов о защите от НСД на АС. Предлагаются следующие
пункты:
 проверка
состояния
технологического
процесса
обработки
информации;
 проверка подсистемы управления доступом;
 проверка подсистемы регистрации и учета;
 проверка подсистемы обеспечения целостности.
Данные подсистемы можно просмотреть во вкладке «АС -> Аттестация > Протокол от НСД»
Стоит отметить, что данные подсистемы содержат в себе ряд
требований, которые должны или не должны выполняться в зависимости от
класса защищенности.
Проверка состояния технологического процесса обработки информации
При выборе вкладки «Проверка состояния технологического процесса»
пользователю на выбор предоставляется ряд мероприятий, которые он мог
бы провести конкретно для этого пункта. Суда может входить:
Стр. 34
 Анализ соответствия реального технологического процесса
обработки информации в
АС представленному описанию
технологического процесса.
 Проверка правильность определения класса защищенности АС;
 Проверка состав и функционирования объектов и субъекты
доступа, средств передачи и обработки информации;
 Проверка
разрешительной
системы
доступа
персонала
к
информации.
 Определение опасных факторов и угроз, критических мест АС,
снижающих уровень защиты.
Узнать
о
реальном
технологическом
процесс
обработки
конфиденциальной информации в АС можно описать путем опроса людей,
обрабатывающих информацию, а так же после изучения соответствующих
документов.
Проверка правильности определения класса АС дается после проверки
следующих параметров параметрам:
 уровня конфиденциальности обрабатываемой в АС информации;
 количества пользователей в АС;

 разграничения прав доступа пользователей к ресурсам АС, а
также
наличия
информации
различного
уровня
конфиденциальности.
Для проверки состава объектов и субъекты доступа, средств передачи и
обработки информации пользователь ССПА имеет возможность:
 Определить перечень объектов доступа;
 Определить перечень субъектов доступа;
Стр. 35
 Определить перечень штатных средств доступа к информации в
автоматизированной системе;
 Определить перечень средств защиты информации.
При
проверки
разрешительной
системы
доступа
персонала
определяются факторы разрешительной систем. В качестве факторов могут
выступать:
 Размещение АС;
 Описание действий персонала, имеющего доступ к АС;
 Кем
осуществляется
сопровождение
и
контроль
функционирования АС;
 Кто имеет доступ с правами администрирования к АС.
Так же в этом разделе проводиться проверка оформленных разрешений
на
допуск
персонала
к
информации
определенного
уровня
конфиденциальности. В рамках данной проверки пользователь имеет
возможность проверить следующие параметры:
 наличие утвержденных разрешений на доступ персонала к
информации различного уровня конфиденциальности;
 наличие
и
содержание
технологической
инструкции
для
технологических
инструкций
для
пользователей АС;
 наличие
и
содержание
администратора безопасности АС.
Опасные факторы и угрозы пользователь определяет во вкладке
«определение опасных факторов и угроз» отмечая те пункты, которые
являются актуальными для АС. Например, в качестве факторов риска могут
выступать:
Стр. 36
 несанкционированный доступ к техническим и программным
средствам АРМ, элементам аппаратуры и оборудования с целью
изменения их конфигураций;
 нарушение конфиденциальности отдельных данных (паролей
доступа, установленных привилегий доступа, используемых
идентификаторов, имен
и пр.) в том числе, как
из-за
непреднамеренных, так и умышленных действий персонала АС;
 хищение резервных копий дистрибутивов операционной среды,
программного обеспечения.
 Прочее.
Примечание: Факторов риска значительно больше, чем приведено выше.
В приложение сформирована база данных факторов риска, откуда
пользователь будет выбирать те пункты, которые больше всего подходят для
АС.
Помимо факторов риска определяются уязвимости. В качестве уязвимых
мест АС, элементов аппаратуры и оборудования, программ и данных,
которые
могут
быть
подвергнуты
воздействию
факторов
риска,
рассматриваются:
 все элементы аппаратуры и оборудования АС - относительно
преднамеренных злоумышленных воздействий, НСД, случайных
отказов и сбоев;
 технические и программные средства АС, элементы аппаратуры
и оборудования - относительно нарушения конфиденциальности
различного рода служебной информации в АС;
 технические и программные средства ОИ - относительно
нарушения
целостности
программных
средств,
изменения
привилегий и полномочий доступа. НСД к подсистемам АС;
 все оконечные устройства АС - относительно НСД в систему;
Стр. 37
 прочее.
Примечание: Уязвимостей АС значительно больше, чем приведено
выше. В приложение будет сформирована база данных уязвимостей, откуда
пользователь будет выбирать те пункты, которые больше всего подходят для
ОИ.
Проверка подсистемы управления доступом
Данная подсистема включает в себя ряд требований, которые могут не
выполняться ввиду низкого класса защищённости. ССПА устроена таким
образом, что, после определения класса защищенности АС (см. п. 2.2.1.),
система автоматически выводит необходимы требования из РД.
Для реализации данной проверки пользователь ССПА, при переходе во
вкладку «АС -> Аттестация -> Протокол на соответствие требованиям от
НСД -> Проверка подсистемы управления доступом», имеет возможность
выполнить следующие мероприятия:
 Проверку настройки параметров СЗИ:
 Проверку аутентификации субъектов доступа при входе в
автоматизированную систему по идентификатору и паролю;
 Проверку контроля доступа субъектов к защищаемым ресурсам в
соответствии с предоставленной матрицей доступа;
 Проверку идентификации терминалов, внешних устройств ЭВМ
(для АС класса 1Г);
 Проверку идентификация программ, томов, каталогов, файлов
(для АС класса 1Г).
Проверка подсистемы регистрации и учета событий
На этом этапе проверяется регистрация и учет событий с необходимыми
показателями,
определенными
требованиями
РД
по
безопасности
Стр. 38
информации. Как правило, регистрация событий осуществлялись на уровне
СЗИ от НСД в соответствии с выбранными параметрами его настройки.
Данная проверка фиксируется на вкладке «АС -> Аттестация -> Протокол на
соответствие требованиям от НСД -> Регистрации и учета событий».
Данная проверка включает в себя следующие мероприятия:
 Проверка регистрации
входа/выхода субъектов доступа в
систему/из системы;
 Проверка регистрации выдачи печатных (графических) выходных
документов (для АС класса 1Г);
 Проверка
регистрации
запуска
(завершения)
программ
и
процессов (заданий, задач) (для АС класса 1Г);
 Проверка регистрации доступа программ субъектов доступа к
защищаемым файлам (для АС класса 1Г);
 Проверка учета в журнале (картотеке) всех защищаемых
носителей информации с помощью их любой маркировки с
регистрацией выдачи/приема (для АС класса 1Г);
 Проверка очистки (обнуление, обезличивание) освобождаемых
областей оперативной памяти ЭВМ и внешних накопителей (для
АС класса 1Г).
Стр. 39
Проверка подсистемы регистрации и учета событий
Для работы с параметры данной подсистемы пользователю необходимо
пройти по вкладке «АС -> Аттестация -> Протокол на соответствие
требованиям от НСД -> Обеспечение целостности».
Данная проверка включает в себя:
 проверку обеспечения целостности программных средств СЗИ от
НСД, а также неизменности программной среды;
 проверку физической охраны средств вычислительной техники:
 проверку проведения периодического тестирования всех функций
СЗИ от НСД;
 проверку наличия средств восстановления СЗИ от НСД;
 проверку использования сертифицированных средств защиты.
При проверке обеспечения целостности программных средств СЗИ
от НСД определяется, какими средствами обеспечивается целостность
программных средств системы защиты информации и неизменность
программной среды. Пользователь ССПА имеет возможность выбрать
те параметры, которые обеспечивают целостность программных
средств системы защиты информации и неизменность программной
среды АС. Например:
 наличие лицензионных дистрибутивов системного программного
обеспечения, используемого в автоматизированной системе
объекта информатизации;
 проверка установки официально заявленных для испытаний
программных средств на АС администратором защиты системы;
 периодический контроль администратором защиты реальной
конфигурации СЗИ от НСД;
 и.т.п.
Стр. 40
При проверки физической охраны средств вычислительной техники
пользователь ССПА определяет из списка те средства, которые находятся на
объекте. Данный перечень средств содержит:
 Наличие контрольно-пропускного пункта;
 Наличие средств контроля и управления доступом;
 Наличие охранной сигнализации;
 Наличие пожарной сигнализации;
 Наличие опечатывающего устройства;
 Наличие средств видеонаблюдения;
 И.т.п.
Проверяя мероприятия, связанные с периодическим тестированием всех
функций СЗИ, пользователю ССПА будут предложены следующие решения:
 Наличие
организационно-распорядительной
документации,
предписывающей периодичность и порядок тестирования всех
функций СЗИ от НСД;
 Анализ
применяемых
разработчиком
средств
контроля
целостности компонентов СЗИ;
 И.т.п.
При проверки наличия средств восстановления средств защиты
информации от несанкционированного доступа пользователю ССПА будут
предложены следующие решения:
 Наличие дистрибутивов программного обеспечения;
 Наличие резервных копий программного обеспечения.
Данных сведений достаточно для создания документа «Протокол
аттестационных испытаний объекта информатизации на соответствие
требованиям по защите информации от НСД». Для его просмотра достаточно
Стр. 41
нажать кнопку «Просмотреть» во вкладке «АС -> Аттестация -> Протокол на
соответствие требованиям от НСД».
Документ «Протокол аттестационных
испытаний АС на соответствие требований по безопасности
информации»
Данный
испытаний,
документ
является
который
включает
общим
в
протоколом
себя
аттестационных
результаты
проведенных
аттестационных испытаний, в том числе результаты измерения ПЭМИН и
оценки защищенности информации от НСД.
В этом документе описаны принятые организацией меры как
для
удовлетворения требований РД, так и для повышения уровня защищённости
конфиденциальной информации, обрабатываемые АС.
Документ содержит проведённые мероприятия, а так же описание
проведенных проверок в рамках каждого мероприятия. Данный протокол
формируется автоматически из данных, собранных как до аттестационных
испытаний, так и во время их.
Документ содержит описание следующих мероприятий:
 Анализ
и
оценка
документации
соответствия
по
представленных
защите
исходных
информации
представленных
данных
в
данных
и
АС,
проверка
реальным
условиям
размещения, монтажа и эксплуатации на АС;
 Проверка состояния технологического процесса обработки и
хранения конфиденциальной информации;
 Проверка АС на соответствие организационно-техническим
требованиям по защите информации;
 Проверка АС на соответствие требований по защите информации
от утечки за счет ПЭМИН
Стр. 42
 Проверка выполнения требований на отсутствие в технических
средствах АС специальных электронных устройств перехвата
информации;
 Испытания АС на соответствие требованиям, но защите
информации от несанкционированного доступа.
Данные
мероприятия
основываются
на
порядке
проведения
аттестационных испытаний АС, описанные в «Программе – Методике
аттестационных испытаний».
Документ «Заключение по результатам
аттестационных испытаний АС»
По результатам мероприятий, описанных в разделе 2.3.1.6, система
сопровождения процесса аттестации генерирует заключение о возможности
выдачи аттестата соответствия автоматизированной системы требованиям по
безопасности информации. В случае невыполнении каких - либо требований
система предложит рекомендации по устранению нарушений.
Только при выполнений всех требований ССПА позволит сгенерировать
«Аттестат соответствия для АС требованиям безопасности информации».
Инерфейс приведен в приложении 7.
Документ «Аттестат соответствия»
Данный документ доступен для генерации лишь тогда, когда будут
сформированы
положительные
выводы
в
заключении.
Документ
оформляется в соответствии с «СТР-К». Из раннее собранной информации, в
него вносятся следующие данные:
 Наименование автоматизированной системы;
 Класс защищенности автоматизированной системы;
 ФИО и должность ответственно администратора безопасности;
Стр. 43
Механизм «Аттестация защищаемого помещения»
Целью аттестационных испытаний ЗП является проверка соответствия
защищаемого
помещения
требованиям
по
защите
информации,
применительно к следующим каналам утечки информации:
 Акустическому излучению информативного речевого сигнала;
 Вибрационным
сигналам,
возникающим
посредством
преобразования информативного акустического сигнала при
воздействии его на строительные конструкции и инженер-нотехнические коммуникации ЗП;
 Электрическому
преобразования
сигналу,
возникающему
информативного
акустического
посредством
сигнала
в
электрический, за счет микрофонного эффекта и распространяющемуся по проводам и линиям передачи информации.
Для оценки соответствия защищаемого помещения требованиям по
безопасности информации пользователю ССПА необходимо перейти в
следующую вкладку «ЗП -> Аттестация».
Появляется рабочая область, в которой пользователю ССПА будет
предложено выбрать меры, принятые в организации как для выполнения
требований РД, так
и для повышения общего уровня безопасности. В
последующим, из полученных данных, ССПА формирует необходимые
документы.
Документ «Программа-Методика
аттестационных испытаний защищаемого помещения»
Документ содержит перечень мероприятий, которые необходимо
выполнить для оценки соответствия ЗП требованиям по безопасности
информации. При переходе на вкладку «ЗП -> Аттестация -> Программа -
Стр. 44
Методика»
пользователь
имеет
возможность
выбрать
необходимые
мероприятия их предложенного перечня:
 Проверка соответствия представленных исходных данных и
документации реальным условиям размещения ЗП;
 Проверка выполнения общих требований по защите ЗП;
 Проверка выполнения организационно-режимных требований к
ЗП;
 Аппаратные
испытания
эффективности
защиты
речевой
информации от утечки по техническим каналам;
 Проверка
выполнения
требований
и
рекомендаций
по
требований
и
рекомендаций
по
акустической защите;
 Проверка
выполнения
вибрационной защите;
 Подготовка отчетной документации, протоколов испытаний и
заключения по результатам аттестационных испытаний
Выбор мероприятий зависит от актуальности угроз. Например, если
угроза утечки информации по акустическому каналу не актуальна, то
мероприятия,
связанные
с
оценкой
защищенности
данного
канала
проводиться не будут.
Документ «Акт установки средств защиты
информации»
При переходе на вкладку «ЗП -> Аттестация -> Акт Установки СЗИ»,
пользователь ССПА выбирает те СЗИ, которые были установлены
непосредственно перед аттестацией сторонними специалистами. Данный
перечень формируется из СЗИ, которые были добавлены ранее, но не
установленные на системные блоки (см. раздел). При нажатии кнопки
«Просмотреть» ССПА сформирует необходимый акт.
Стр. 45
Документ «Протокол инструментальнорасчетной оценки защищенности помещения от утечки
речевой конфиденциальной информации»
Данный документ создается, когда проводятся мероприятия по оценки
защищенности помещения от утечки информации по акустическому и
виброакустическому каналу. Для данной проверки проводятся специальные
исследования.
Разработан дополнительный модуль, который производит расчет
коэффициентов виброизоляции как акустического, так и виброакустического
канала. Данные расчеты проводятся в соответствии с «Временной методики
оценки защищенности помещений от утечки речевой конфиденциальной
информации
по
акустическому
и
виброакустическому
каналу».
Пользователю достаточно загрузить полученные экспериментальным путем
данные, и
ССПА произведет необходимые расчеты и
сформирует
необходимые таблицы. Для просмотра таблицы пользователю ССПА
необходимо во вкладке «ЗП -> Аттестация -> Расчеты коэффициента
виброизоляции» нажать кнопку «Просмотреть протокол». В общем случает
таблица имеет вид:
Таблица 3. измерение виброизоляции
Измерен
НормативУровень
Измерен- ный уроРасчетны Октавные ное значеизмеренногосумм
Номер ный уровень
й уровень уровни ние октаварного акустичеСоотв.
октавной вень тест- акустиче
акустичезвуного коэфского сигнала и
норма
полосы сигнала в ского
ского сиг- коизоляци фициента
акустического
м
к.т.
шума в
нала в к.т. и в к.т. звукоизоля
шума в к.т.
к.т.
ции,
1 (250)
2 (500)
3 (1000)
4 (2000)
5 (4000)
106,2
107,0
100,0
95,1
90,1
46,1
40,7
39,9
32,9
22,3
Контрольная точка № 1
60,2
60,2
66,3
66,3
60,0
60,0
62,2
62,2
67,8
67,8
57,0
51,9
49,1
42,0
33,8
33,9
38,9
43,4
49,9
57,4
соотв
соотв
соотв
соотв
соотв
Стр. 46
Примечание: Данные расчеты проводились с использованием системы
оценки защищенности помещений по виброакустическому каналу "ШЕПОТ",
а так же необходимым для него оборудованием:
 генератор тестового акустического сигнала «Шорох - 2МИ»
 акустический излучатель «Шорох - 2 Мик»;
Если в таблице 1 в столбце «соответствие нормам» появляется
сообщение «не соотв.», то приложение информирует о необходимости
применения
средств
активной
защиты. Данное
сообщение является
информационным, и не является требованием. При появлении данного
сообщения Организация, для которой проводится аттестация, имеет право
отказаться от применения САЗ, а лишь обойтись дополнительными
инструкциями, в которых описаны организационные мероприятия по
ликвидации угроз (например, разработана инструкция, в которой написано,
что «перед проведением проведения конфиденциальных мероприятий,
организация проводит осмотр внешней поверхности стены, смежной с
лестничной площадкой, на предмет подозрительных предметов» и.т.п.).
Документ «Протокол аттестационных
испытаний на соответствие требованиям по безопасности
информации ЗП»
Как и для АС, данный документ описывает проведенные мероприятия,
определенные документом «Программа - Методика» (см. п. 2.3.2.1) для ЗП:
 Проверка
данных
и
документации,
представленных
аттестационной комиссии;
 Проверка
ЗП
на
соответствие
организационно-режимным
требованиям по защите информации;
 Проверка ЗП на соответствие требованиям по защите речевой
информации от утечки по акустическому и виброакустическому
каналам;
Стр. 47
 Проверка ЗП на соответствие требованиям по выбору и защите
технических
средств,
устанавливаемых
в
защищаемых
помещениях;
 Проверка выполнения требований на отсутствие в технических
средствах импортного производства специальных электронных
устройств перехвата информации.
Данный документ формируется при нажатии кнопки «Просмотреть
протокол» во вкладке «ЗП -> Аттестация -> Протокол на ИБ». Он включает в
себя данные, добавленные ранее, при сборе информации, а так же те данные,
которые были получены во время аттестации (из протоколов расчета
виброизоляции, актов установки САЗ, программы – методики и т.п.).
Документ «Заключение по результатам
аттестационных испытаний ЗП»
Этот документ резюмирует проведенные мероприятия, давая оценку
выполнения необходимых требований. Заключение содержит результаты
проверок по следующим мероприятиям:
 Анализ исходных данных;
 Проверка кабинета на соответствие организационно-режимным
требованиям по защите информации;
 Проверка кабинета на соответствие требованиям по выполнению
норм противодействия акустической речевой разведке;
 Проверка кабинета на соответствие требованиям по выбору и
защите технических средств, устанавливаемых в защищаемых
помещениях.
Только при положительном результате этих проверок приложение
сформулирует сообщение о возможности выдачи аттестата соответствия. В
Стр. 48
противном случает ССПА генерирует рекомендации по устранению
нарушений.
Документ «Аттестат соответствия»
Данный документ доступен для генерации лишь тогда, когда будут
сформированы
положительные
выводы
в
заключении.
Документ
оформляется в соответствии с «СТР-К», используя раннее собранную
информацию.
Механизм «Аттестация Информационной системы
персональных данных»
Примечание 1. Данный механизм основывается на методах и классах,
разработанных для сопровождения процесса аттестации автоматизированных
систем. Документы «Программа - Методика», «Акт установки СЗИ», а так же
модуль «Расчет ПЭМИН» для ИСПДн преследуют те же цели и задачи,
выдвинутые для АС (см. п. 2.3.1.).Некоторые мероприятия, направленные на
оценку соответствия ИСПДн требованиям по безопасности информации,
схожи с мероприятиями, проводимые для оценки АС, поэтому не будут
описаны в данном разделе. Достаточно сказать, что для формирования
документов «Программа – Методика аттестационных испытаний ИСПДн
требованиям по безопасности информации», «Акт установи СЗИ в ИСПДн»,
«Протокол измерения ПЭМИН» «Протокол аттестационных испытаний на
соответствие требованиям по безопасности информации ИСПДн», а так же
«Заключение
по
результатам
аттестационных
испытаний
ИСПДн»
достаточно нажать кнопку «Просмотреть» в соответствующей вкладке.
Примечание 2. На момент написания дипломной работы требования
для ИСПДн по безопасности информации находятся на стадии утверждения.
Стр. 49
Документ
«Протокол
оценки
принятых
организационных и технических мер, снижающих
вероятность выполнения актуальных угроз»
При сборе информации об ИСПДн (см. п. 2.2.5.), пользователь ССПА
указывает уровень защищенности ПДн, обрабатываемых ИСПДн. Исход из
уровня защищенности ПДн, ССПА генерирует соответствующие меры,
которые необходимо применить для снижения вероятности выполнения
актуальных угроз. Меры по обеспечению безопасности ПДн взяты из приказ
№ 21 «Об утверждении состава и содержания организационных и
технических мер по обеспечению безопасности ПДн в ИСПДн». Для выбора
мер для соответствующего уровня защищенности пользователю ССПА
необходимо перейти по вкладке «Просмотреть протокол»
во вкладке
«ИСПДн -> Аттестация -> Принятые меры».
Приняты меры применительно к следующим подсистемам:
 Обеспечения доверенной загрузки;
 Идентификации и аутентификация субъектов и объектов доступа;
 Управления доступом субъектов доступа к объектам доступа;
 Ограничения программной среды;
 Защиты машинных носителей информации;
 Регистрации событий безопасности;
 Защиты среды виртуализации;
 Обеспечения целостности информационной системы и информации;
 Защиты информационной системы, ее средств и систем связи и
передачи данных.
Вывод по разделу 2.3. Разработанный механизм «Аттестация объектов
информатизации по требованиям безопасности» выполняет в полном объёме
свои функции: обеспечение контроль выполнение требований по защите
информации в зависимости от типа ОИ и его класса; генерация необходимых
Стр. 50
документов
по
собранным
данным.
Дополнительные
модули,
обеспечивающие расчеты по результатам специальных исследований,
разработаны в соответствии с «Временными методиками» и функционируют
в полном объеме.
Стр. 51
Заключение
Разработанное приложение полностью решает поставленные задачи:
 Осуществляет сбор и хранение актуальной информации (см. п.
2.1.);
 Осуществляет контроль за выполнение требований по защите
информации (см. п. 2.3.);
 Осуществляет генерацию необходимой отчетной документации
(см. п.2.3.)
 Производит автоматические расчеты результатам специальных
исследований (см. п. 2.3.1.4., п. 2.3.2.3.);
 Производит генерацию ОРД – документов для организации по ИБ
(см. п. 2.2.).
Применяя ССПА, «временная» шкала проведения аттестации имеет вид,
приведенный на Таблице 3.
Таблица 3. Временные показатели аттестации ОИ с применение ССПА.
Сбор
информации
Разработка ОРД
Разработка
Технического
паспорта
Анализ
исходных
данных
Расчеты
по
результатам
специальных
исследований
Разработка
отчетной
документации
Общее Время
Аттестация АС
(1 Арм)
Аттестация
ЗП
1 д.
1 д.
Аттестация
ИСПДн (10
АРМ)
1 д.
1 д.
1 д.
1д
0 д.
0 д.
0 д.
0 д.
0 д.
1 д.
1 д.
1 д.
1 д.
0 д.
0 д.
0 д.
0 д.
1 д.
1 д.
1 д.
1 д.
4 д.
4 д.
4 д.
2д
Переаттестация ОИ
0 д.
Проанализировав таблицу, можно прийти к выводу, что, благодаря
ССПА, время на работы по аттестации снизились в 3 раза. Это решает
определенные раннее проблемы, а, соответственно, цель дипломной работы
была достигнута.
Стр. 52
Список литературы
1. Положение о государственной системе защиты информации в
Российской Федерации от иностранных технических разведок и от ее
утечки по техническим каналам, утвержденные постановлением
Правительства от 15.09.93г., № 912-51;
2. Положение по аттестации объектов информатизации по требованиям
безопасности
информации,
утвержденные
Председателем
Гостехкомиссии России 25.11.1994 г.;
3. Специальные
требования
и
рекомендации
по
защите
конфиденциальной информации, Гостехкомисся России, 2002 г.;
4. ГОСТ Р 50752-95. Информационная технология. Защита информации
от утечки за счет побочных электромагнитных излучений при ее
обработке средствами вычислительной техники. Методы испытаний;
5. ГОСТ Р 29339-92. Информационная технология. Защита информации
от утечки за счет побочных электромагнитных излучений при ее
обработке средствами вычислительной техники. Общие технические
требования;
6. Сборник
временных
методик
оценки
защищенности
конфиденциальной информации от утечки по техническим каналам»,
Гостехкомиссия России, Москва, 2002 г.
7. Доктрина информационной безопасности Российской Федерации.
Утверждена Президентом Российской Федерации 9 сентября 2000 года
№ Пр-1895.
8. ГОСТ Р 51275-2006 «Защита информации. Объект информатизации.
Факторы, воздействующие на информацию»
9. РД ФСТЭК от 30 марта 1992 г. «Автоматизированные системы. Защита
от несанкционированного доступа к информации. Классификация
автоматизированных систем и требования по защите информации»;
Стр. 53
10.Постановление правительства РФ от 01.11.2012 № 1119 «Об
утверждении требований к защите персональных данных при их
обработке в информационных системах персональных данных»;
11.Приказ № 21 «Об утверждении состава и содержания организационных
и технических мер по обеспечению безопасности ПДн в ИСПДн».
Стр. 54
Приложение 1. Рис. 1. Добавления общих сведений об ОИ
Примечание: В виду коммерческой тайны ООО «КБ -Информ» наименование
клиентов затерты. Для примера используется тестовая организация ООО
«Рога и копыта»
Стр. 55
Приложение 1. Рис. 2. Добавления общих сведений об ОИ:
Кабинет
Стр. 56
Приложение 1. Рис. 3. Добавления общих сведений об ОИ:
Оборудование
Стр. 57
Приложение 2. Рис 1. Добавления общих сведений об АС:
Общие сведения
Стр. 58
Приложение 2. Рис. 2. Добавления ОТСС и ВТСС для АС
Стр. 59
Приложение 2. Рис. 3. Определение ОТСС АС
Стр. 60
Приложение 2. Рис.4. Определение ВТСС АС
Стр. 61
Приложение 3. Добавления общих сведений о ЗП
Стр. 62
Приложение 4. Рис 1. Добавления общих сведений об
ИСПДн
Стр. 63
Приложение 4. Рис 2. Добавления общих сведений об
ИСПДн: Помещения
Стр. 64
Приложение 5. Аттестация АС
Стр. 65
Приложение 6. Расчет КЗ
Стр. 66
Приложение 7. Аттестация АС: Заключение по результатам
аттестационных испытаний
Стр. 67
Related documents
в формате * - Управление образования
в формате * - Управление образования
Download
advertisement